Molte aziende usano sorgenti di intelligence open-source per il proprio Security Operations Center (SOC) in modo da dare ai propri analisti di sicurezza maggiori informazioni sulle minacce. Raccogliere informazioni open source sulle minacce a un primo sguardo sembra vantaggioso, ma il processo di raccolta, analisi e trattamento di migliaia di queste informazioni al giorno può rapidamente far diminuire i benefici attesi o esporre l’organizzazione a nuovi rischi specialmente quando sono prodotte informazioni incomplete.
Di seguito alcune sfide specifiche che i clienti riscontrano quando utilizzano le informazioni open source sulle minacce:
- Le informazioni pubbliche devono essere contestualizzate e deduplicate. Raccogliere semplicemente gli Indicatori di Compromissione (IoC) in liste e trasmetterle agli analisti è spesso un errore. Gli analisti necessitano di una contestualizzazione: quando è stato rilevato? Quale aggressore o malware potrebbe esserci dietro questo IoC? Ci si può fidare di questo IoC? Per ottenere una risposta gli utenti hanno bisogno di un processo di raccolta analitica più rigido, che spesso richiede una piattaforma di threat intelligence, imponendo un carico di lavoro incrementale e un capex sui team SOC.
- Gestire il ciclo delle informazioni sulle minacce open-source richiede una formazione. Prima di utilizzarle, le aziende devono investire tempo e risorse per imparare come approcciare e realizzare un programma d’intelligence sulle minacce corretta e rilevante. Gli analisti devono comprendere quale tipologia di intelligence sia necessaria per i loro team di security in modo da selezionare le corrette fonti di dati per poi produrre risultati di interesse per i loro stakeholder.
Secondo il sondaggio Cyber Threat Intelligence (CTI) 2020 di Cybersecurity Insiders, più dell’80% degli analisti non possiede le competenze per ricavare indicatori dall’uso di sorgenti open source o dal dark web e hanno riferito una mancanza di formazione, strumenti o supervisione.
Come commentato in una nota ufficiale da Gabriele Zanoni, Senior Strategic Consultant di Mandiant: «Data la situazione economica esistente, molte aziende non sono nelle condizioni di usare sorgenti di intelligence open source e quindi le potenziali iniziative di miglioramento della sicurezza vengono meno proprio per mancanza di conoscenza, tempo o risorse».
- Non tutte le informazioni sulle minacce sono rilevanti o affidabili. I professionisti che si occupano di intelligence ricevono spesso informazioni che risultano obsolete, che descrivono attività datate o che non hanno alcuna rilevanza per il loro settore industriale.
Ancora secondo Zanoni: «Incorporare le informazioni d’intelligence sulle minacce nel flusso di lavoro del SOC non è mai privo di rischi e alcuni aggressori possono rilasciare intenzionalmente informazioni fuorvianti per ingannare i team di sicurezza».
Come Mandiant Advantage aumenta l’efficienza delle risorse esistenti
Mandiant Advantage Free non solo rileva, aggrega e deduplica gli indicatori inerenti le minacce come indirizzi IP, di dominio e hash dei file da più di 70 feed open-source selezionati, ma fornisce ai clienti anche una potente funzionalità di ricerca che abbina i risultati della ricerca a un M-Score, una valutazione di attendibilità data-driven di Mandiant che combina la conoscenza degli esperti con tecniche di machine learning. Questa valutazione si basa sull’intelligence derivante dalle attività in prima linea di Mandiant, che comprende più di 100.000 ore impiegate ogni anno nelle attività di risposta agli incidenti, i dati di “machine intelligence” provenienti da milioni di endpoint oltre alle indagini avanzate sugli avversari svolte da più di 300 analisti di Mandiant in oltre 25 sedi e in più di 30 lingue.
Anziché affidarsi esclusivamente a sorgenti di intelligence pubbliche spesso inaffidabili e superate, i clienti di Mandiant Advantage possono ottenere gratuitamente indicatori di compromissione con punteggi di attendibilità, informazioni sull’origine, sulla categoria della minaccia e i dettagli temporali di quando tale minaccia è stata rilevata per la prima o l’ultima volta. L’M-Score e il contesto aiuta gli utenti a ridurre il sovraccarico dato dai troppi allarmi, a dare priorità alle risorse aziendali quando vengono mostrate informazioni critiche per la sicurezza e ad allineare adeguatamente le risorse per le indagini sulle situazioni critiche.
Mandiant Advantage offre un’intelligence sulle minacce ineguagliabile, aggiornata in tempo reale e derivante dalle attività in prima linea, che consente ai clienti di dare priorità alle minacce rilevanti per la loro azienda, aumentando l’efficienza degli strumenti e delle risorse esistenti.
